Respostas no Fórum
- Posts
Allyson, na minha opinião é mais simples e seguro compilar o zabbix de um pacote atualizado com uma origem conhecida do que usar uma versão compilada por terceiros. O trabalho será quase o mesmo!
wget: Completamente desnecessário instalar. Use o curl que já vem nativo no endian!
basta digitar: curl -O http://www.exemplo.com.br/arquivo.zip
Link no seu post: Foi editado. Não temos nenhuma relação com esse domínio, deixar esse link ativo pode causar confusão ou parecer que é um recurso nosso pela “semelhança” do nome.
[]’s
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Marcelo, por padrão o endian não aceita esse tipo de configuração. A maneira mais simples, seria de você adicionar uma segunda placa de rede, e deixar em paralelo com o seu firewall atual.
Apenas a navegação sai pelo endian, todo o resto sai pelo firewall principal.
Caso contrário você vai precisar dar uma boa mexida no funcionamento padrão dele. A forma que eu acho mais indicada para isso, seria criar uma interface virtual que não liga a nada para a interface verde e ligar a interface vermelha na sua rede local. Neste cenário, você precisa configurar o firewall “externo” do endian para aceitar conexões no proxy. Também será necessário configurar o proxy para adicionar a “rede vermelha” como rede autorizada.
Na página de configuração do proxy, tem uma opção que permite definir redes autorizadas a usar o proxy.[]’s
Paulo,
As redes estão em zonas separadas certo?
Você pode criar regras liberando ou bloqueando acesso entre as redes em firewall, interzone.Observar que a resolução de nomes (wins) não vai funcionar entre as duas redes mas você poderá acessar as máquinas usando direto o endereço ip. Ex: \\192.168.0.15\compartilhamento
Paulo,
Verifique nos logs do proxy se eles realmente estão passando pelo proxy. Caso contrário, verifique novamente a sua regra que bloqueia o acesso através das portas 80 e 443
Suspeito que alguém ou algum bot obteve sucesso entrando no seu endian.
Sugiro que tire essa máquina de produção o mais rápido possível. O ideal seria substituir ela por outra e investigar melhor como aconteceu.Provavelmente seu endian está secretamente minerando bitcoin ou realizando alguma atividade maliciosa 😛
Dicas (para uma máquina nova):
– Não exponha nenhum serviço do endian para a internet, principalmente a web interface e o SSH. Use SEMPRE vpn para acessar o seu endian remotamente. O openvpn deve ser o único serviço do endian exposto para internet e somente se ele for usado.
– SSH senhas fracas ou previsíveis são sinônimo de problema garantido. Existem milhares de computadores infectados na internet procurando ssh com senhas fracas.
– Não use senha para acesso ssh. Desative completamente esta opção e use apenas chave para autenticação.[]’s
Anderson,
Se você desativou o ssh, não deveria estar vendo essas mensagens. Verifique novamente se o serviço está realmente desativado e tente fazer um ssh para o endian.
O ideal é só liberar acesso remoto ao endian (Firewall / System access ) através da vpn. (fechando tudo para fora)
Você também pode desativar acesso ssh com senha (usando apenas chave), esta forma é muito mais segura.
Trocar a porta também vai reduzir consideravelmente os bots, mas não adiciona muita segurança na prática.
Opa, o endian não tem as bibliotecas necessárias para compilar o agent do zabbix.
No passado, para colocar o agente do zabbix no endian, eu compilei ele em um centOS 32bits usando a opção –enable-static. Depois fiz a cópia do binário do zabbix para o endian.
Deu certo. Não é muito complicado.
O OpenVPN ainda é a melhor alternativa para VPN. Ele é simples, rápido, robusto estável e muito flexível.
Outras alternativas baseadas no protocolo GRE são bem problemáticas, ainda mais quando passam por roteadores mais antigos.[]’s
Darlisson,
Você não precisa liberar o tráfego de saída. Dependendo da sua configuração, você talvez só vá precisar criar o redirecionamento de porta.
Se você possui um modem ou roteador antes do seu endian, verifique se ele está redirecionando a porta 22 corretamente.
[]’s
Funcionar funciona,
Os membros da comunidade vão respondendo quando podem mas nem sempre é garantido que você irá receber uma resposta.
Eu respondo quando tenho disponibilidade, mas meu tempo anda bem apertado.
[]’s
felipe, nas configurações do proxy http, você pode definir redes adicionais que o squid irá atender.
Como 10.19.2.0/24 não está configurado no endian da matriz, ele não reconhece esta rede e acaba recusando o acesso antes mesmo de ir para as políticas. Declarando esta rede no proxy (não é em políticas), o problema será resolvido.
Observar que o comentário do Johny está correto, você irá ter um consumo mais elevado de internet. (de uma forma simplificada, a filial vai usar o “dobro de banda na matriz para cada acesso externo”)
[]’s
Isso é normal, da uma olhada nesse site: http://www.linuxatemyram.com/
😀Carlos,
Vamos usar o exemplo de um servidor de TS remoto. Porta TCP 3389.
Ao remover a regra que libera a saída para qualquer host na porta tcp 3389, as sessões ativas vão continuar funcionando pois o endian usa os módulos de estado do iptables (RELATED,ESTABLISHED), entretanto novas conexões não serão aceitas.
Para derrubar as conexões ativas sem reiniciar o equipamento, ao invés de remover a regra, troque a ação dela para REJECT, e aplique as alterações. Isso recusará novas conexões e vai causar a interrupção das conexões atuais.
Depois, basta esperar uns 5 ou 10 minutos e remover esta regra 😉[]’s
Se as duas regras estão iguais, provavelmente o seu modem não está redirecionando a porta 1433 para o endian. (ou está sendo filtrada em algum ponto).
Você também pode usar o tcpdump para confirmar se o tráfego está chegando ou não.
[]’s
O squid usa aproximadamente 10MB de ram para cada GB em cache de disco.
O ideal é que você deixe uma boa folga entre a memória que calculou para o squid e o que tem disponível no servidor.
Aqui você encontra informações mais detalhadas sobre o uso de memória do squid: http://wiki.squid-cache.org/SquidFaq/SquidMemory
[]’s
